AD-Wiederherstellung - Mehrere Domaincontroller
Hallo!
Ich habe eine Verständnisfrage und hoffe, ihr könnt mir helfen:
Nehmen wir an, ich habe drei Domaincontroller unter Windows 2012 R2.
Alle sichern jede Nacht den "System-State".
Wenn ich jetzt ein Problem im AD habe und dieses auf den Stand von gestern zurücksetzen möchte - wie ist das Vorgehen?
Explizit:
- Restore auf einem der DCs
--> Was passiert dann? Überträgt dieser auf die anderen DCs, oder holt er sich nach dem Restore die (kaputten) Daten von den anderen DCs?
Danke für eure Hilfe!
Ich habe eine Verständnisfrage und hoffe, ihr könnt mir helfen:
Nehmen wir an, ich habe drei Domaincontroller unter Windows 2012 R2.
Alle sichern jede Nacht den "System-State".
Wenn ich jetzt ein Problem im AD habe und dieses auf den Stand von gestern zurücksetzen möchte - wie ist das Vorgehen?
Explizit:
- Restore auf einem der DCs
--> Was passiert dann? Überträgt dieser auf die anderen DCs, oder holt er sich nach dem Restore die (kaputten) Daten von den anderen DCs?
Danke für eure Hilfe!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381814
Url: https://administrator.de/forum/ad-wiederherstellung-mehrere-domaincontroller-381814.html
Ausgedruckt am: 30.04.2025 um 05:04 Uhr
7 Kommentare
Neuester Kommentar
Moin...
gern...
Nehmen wir an, ich habe drei Domaincontroller unter Windows 2012 R2.
ok..
Alle sichern jede Nacht den "System-State".
bedeutet genau was?
mit mit der Windows Datensicherung selber, oder einer anderen Software, wie Acronis etc...
Wenn ich jetzt ein Problem im AD habe und dieses auf den Stand von gestern zurücksetzen möchte - wie ist das Vorgehen?
was für eine Problem genau?
Explizit:
- Restore auf einem der DCs
was ist das für ein DC genau... hat er alle FMSO rollen? wenn nein, neuinstallation fertig...
--> Was passiert dann? Überträgt dieser auf die anderen DCs, oder holt er sich nach dem Restore die (kaputten) Daten von den anderen DCs?
was für kaputte daten genau? ... klar die replizieren sich, was ja auch so richtig ist!
wo genau und was ist dein Fehler?
hast du noch einen exchange... etc... im Netz?
Danke für eure Hilfe!
Frank
gern...
Nehmen wir an, ich habe drei Domaincontroller unter Windows 2012 R2.
Alle sichern jede Nacht den "System-State".
mit mit der Windows Datensicherung selber, oder einer anderen Software, wie Acronis etc...
Wenn ich jetzt ein Problem im AD habe und dieses auf den Stand von gestern zurücksetzen möchte - wie ist das Vorgehen?
Explizit:
- Restore auf einem der DCs
--> Was passiert dann? Überträgt dieser auf die anderen DCs, oder holt er sich nach dem Restore die (kaputten) Daten von den anderen DCs?
wo genau und was ist dein Fehler?
hast du noch einen exchange... etc... im Netz?
Danke für eure Hilfe!
ja ist fast richtig was in deinem link steht.... nur mit 3 Dc´s und evtl. einem Exchange ist das eine eine böse sache...
wenn du den DC mit allen FMSO Rollen wiederherstellen musst, sollst du besser hingehen vorher die FMSO Rollen auf einen anderen DC verschieben, und dann neuinstalieren! oder, wenn nix mehr geht, erst die anderen beiden DC´s aus dem netz nehmen, dann ein restore machen, und die beiden DC´s wieder hinzufügen... 3 DC´s mit unterschiedlichen Daten machen echt keinen Spass... echt nicht
Frank
Hi,
ich interpretiere Deine Frage einfach mal so, dass Du z.B. ein gelöschtes Benutzerkonto o.ä. wiederherstellen willst?
Falls ja:
Dafür gibt es zunächst den AD Papierkorb, sofern aktiviert.
Falls nicht aktiviert oder das Objekt dort nicht mehr drin ist, dann muss man eine sogenannt authorisierende Wiederherstellung durchführen.Für den Fall, dass der Systemstatus mit dem Windows Backup erstellt wurde, findest Du z.B. hier eine Anleitung: (nicht geprüft)
How to perform Authoritative Restore of Active Directory Objects – 2012 R2
Bei Replikationsproblemen oder Ausfall eines ganzen DC hängt es vom konkreten Szenario ab.
Zu den FSMO:
Diese sollte man nur dann verschieben, wenn ein innehabender DC defekt ist und abzusehen ist, dass die Wiederherstellung dieses DC's länger (zu lange) dauern wird oder überhaupt nicht möglich ist und die betroffenen FSMO-Rollen zwischenzeitlich fehlen könnten.
Bsp:
Schema-Master --> unkritisch, wenn keine Schema-Updates anstehen
Domain Name Master --> unkritisch, wenn keine neuen Domänen zu installieren sind
RID-Master --> i.A. unkritisch, es sei denn, es ist zu erwarten, dass tausende neue Objekte dazukommen werden
Infrastruktur-Master --> eher kritisch
PDC-Emulator --> am ehesten kritisch
Beim Ausfall eines ganzen DC ist es u.U. effektiver, den defekten DC "hart" aus dem AD zu entfernen und dafür einen neuen DC zu promoten.
E.
ich interpretiere Deine Frage einfach mal so, dass Du z.B. ein gelöschtes Benutzerkonto o.ä. wiederherstellen willst?
Falls ja:
Dafür gibt es zunächst den AD Papierkorb, sofern aktiviert.
Falls nicht aktiviert oder das Objekt dort nicht mehr drin ist, dann muss man eine sogenannt authorisierende Wiederherstellung durchführen.Für den Fall, dass der Systemstatus mit dem Windows Backup erstellt wurde, findest Du z.B. hier eine Anleitung: (nicht geprüft)
How to perform Authoritative Restore of Active Directory Objects – 2012 R2
Bei Replikationsproblemen oder Ausfall eines ganzen DC hängt es vom konkreten Szenario ab.
Zu den FSMO:
Diese sollte man nur dann verschieben, wenn ein innehabender DC defekt ist und abzusehen ist, dass die Wiederherstellung dieses DC's länger (zu lange) dauern wird oder überhaupt nicht möglich ist und die betroffenen FSMO-Rollen zwischenzeitlich fehlen könnten.
Bsp:
Schema-Master --> unkritisch, wenn keine Schema-Updates anstehen
Domain Name Master --> unkritisch, wenn keine neuen Domänen zu installieren sind
RID-Master --> i.A. unkritisch, es sei denn, es ist zu erwarten, dass tausende neue Objekte dazukommen werden
Infrastruktur-Master --> eher kritisch
PDC-Emulator --> am ehesten kritisch
Beim Ausfall eines ganzen DC ist es u.U. effektiver, den defekten DC "hart" aus dem AD zu entfernen und dafür einen neuen DC zu promoten.
E.
Hallo!
Mir geht es nicht um einen Hardwareausfall, oder ähnlich.
Mir geht es um:
- Irgendwelche Inkonsistenzen oder Probleme im AD selbst
Ich denke, die autorisierende Wiederherstellung ist, was ich suche.
Bislange sichere ich mit der Windows-Sicherung den System-State. Würdet ihr ergänzend etwas anderes nehmen?
Danke und Grüße
Mir geht es nicht um einen Hardwareausfall, oder ähnlich.
Mir geht es um:
- Irgendwelche Inkonsistenzen oder Probleme im AD selbst
Ich denke, die autorisierende Wiederherstellung ist, was ich suche.
Bislange sichere ich mit der Windows-Sicherung den System-State. Würdet ihr ergänzend etwas anderes nehmen?
Danke und Grüße
Moin,
lg,
Slainte
Würdet ihr ergänzend etwas anderes nehmen?
Veeam, falls es sich um VMs handelt.lg,
Slainte
Mit welcher Software man den Systemstatus sichert, ist Jacke wie Hose. Wichtig ist nur, dass diese Software für Domaincontroller das Verfahren der authorisierenden Wiederherstellung beherrscht.
